logo

米韓DDoS:マルウェア4種が連携、拡散と攻撃を繰り返す--シマンテック調べ

田中好伸(編集部)2009年07月10日 19時18分
  • このエントリーをはてなブックマークに追加

 シマンテックは7月10日、米韓の政府や金融機関、メディアなどのウェブサイトへの分散型サービス妨害(DDoS)の具体的方法について見解を明らかにした。

 同社の見解によれば、今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。

 感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mmが入り込む。

 こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。

 バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。

  • TCP53から「213.33.116.41」
  • TCP80から「216.199.83.203」
  • TCP443から「213.23.243.210」

 トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。

 シマンテックでは、こうした攻撃に対して、ユーザーは常にセキュリティソフトのアップデートを実施することを勧めている。また、メールの添付ファイルのフィルタリングやファイアウォールから上記のIPアドレスをブロックするなどの対策も効果的としている。

-PR-企画特集